# AN1481 — Analytic 1481 ## Descrição Detecta gerenciadores de pacotes ou ferramentas como `curl`/`wget` instalando ou atualizando a partir de repositórios não aprovados ou pacotes não assinados, seguidos de novos executáveis ELF gravados em diretórios de PATH ou substituição de binários/bibliotecas existentes, e execução inicial que gera processos filhos inesperados ou conexões externas. A telemetria inclui logs de dpkg/apt/yum/rpm, auditd para monitoramento de escrita em diretórios críticos e correlação com conexões de rede de saída de processos recém-instalados. Esta analítica é relevante para detectar comprometimento de cadeia de suprimentos em ambientes Linux, onde pacotes maliciosos podem ser injetados em repositórios ou mirrors locais. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN1481](https://attack.mitre.org/detectionstrategies/DET0537#AN1481)*